Alfonso Maruccia

2016: addio a RC4

I tre principali protagonisti del mercato dei browser annunciano l'abbandono della storica tecnologia crittografica in circolazione da decenni. Una decisione che dovrebbe migliorare la sicurezza del Web per tutti

Roma - Microsoft, Google e Mozilla hanno rilasciato tre diversi aggiornamenti informativi concernenti il supporto a RC4, tecnologia crittografica da tempo nel mirino di cracker, cyber-criminali e intelligence statunitense (NSA) per la facilità con cui è oramai possibile compromettere le comunicazioni sicure trasmesse su canale HTTPS.

L'algoritmo RC4 è in circolazione dal lontano 1987, oggi è ancora utilizzabile nelle comunicazioni protette da certificati crittografici TLS ma offre un livello di protezione a dir poco insufficiente: sarebbe proprio RC4, per dirne una, il "grimaldello" sfruttato dalla National Security Agency americana per attaccare Tor e identificare gli utenti delle darknet.

Sia come sia, da qui a qualche mese RC4 diventerà storia: Microsoft ha intenzione di deprecare l'utilizzo dell'algoritmo su Internet Explorer ed Edge all'inizio del 2016, Google abbandonerà RC4 a partire dalla futura release stabile di Chrome in uscita tra gennaio e febbraio 2016 e Mozilla porrà rimedio alle debolezze intrinseche della tecnologia con Firefox 44, versione del browser open source in arrivo il 26 gennaio 2016.
Una volta eliminato il supporto di RC4 dai tre principali browser del mercato, il Web si sarà liberato di una delle tecnologie che ancora minacciano la sicurezza di utenti e aziende online; il numero di connessioni HTTPS che ancora fanno uso dell'algoritmo è a dir poco minimale, osservano i colossi della Rete, e per chi si trova ancora a gestire un server che necessita di RC4 non ci sarà alternativa all'upgrade.

Alfonso Maruccia
Notizie collegate
  • SicurezzaMicrosoft: stop alla crittografia vulnerabileRedmond si prepara in anticipo alla futura "apocalisse" degli algoritmi crittografici insicuri annunciando l'abbandono di RC4 e SHA-1. I malware capaci di falsificare i certificati di sicurezza sono già in circolazione da anni
45 Commenti alla Notizia 2016: addio a RC4
Ordina
  • chi ha qualcosa da nascondere è un terrorista.
    e non tirate fuori le solite scuse delle banche e bla bla bla..
    anche loro se non hanno nulla da nascondere non hanno nulla da tremare!

    e se per caso pensate di usare crittografia forte sul vostro device, ecco quello che GIUSTAMENTE vi succede:
    http://arstechnica.com/tech-policy/2015/09/journal.../
    non+autenticato
  • - Scritto da: zuccottolo
    > chi ha qualcosa da nascondere è un terrorista.
    > e non tirate fuori le solite scuse delle banche e
    > bla bla bla..
    > anche loro se non hanno nulla da nascondere non
    > hanno nulla da tremare!

    Io sono d'accordo: le banche dovrebbero smetterla con tutta questa sicurezza, togliamo anche allarmi, guardie e serrature. E basta !!

    Non è possibile che a causa loro il mondo viva in paranoia.
    non+autenticato
  • - Scritto da: Un altro

    > Io sono d'accordo: le banche dovrebbero smetterla
    > con tutta questa sicurezza, togliamo anche
    > allarmi, guardie e serrature.

    guardie e allarmi devono esserci per monitorare i terroristi.
    Tutto ciò che è opaco invece, come i muri della tua casa o la crittografia del computer, vanno invece abbattuti e sostituiti con pannelli di vetro e comunicazioni in chiaro.

    O forse vuoi difendere i terroristi?
    Eh? EH? EHHHHHHHHHHH?

    > Non è possibile che a causa loro il mondo viva in
    > paranoia.

    Solo i terroristi sono paranoici.
    non+autenticato
  • bravo! stai crescendo di livello!
  • Bravo, guardie e allarmi solo per i terroristi per gli altri malviventi lasciamoli derubare tranquillamente !!!!
    non+autenticato
  • - Scritto da: ...
    > Bravo, guardie e allarmi solo per i terroristi
    > per gli altri malviventi lasciamoli derubare
    > tranquillamente
    > !!!!

    no caro, io ho scritto che tutti devono essere controllati, secondo per secondo, 24/7, in ogni cosa che fanno.
    E ho scritto che chi si rifiuta è un terrorista.
    Il che è perfettamente logico.
    Quindi evita di mettermin in bocca cose mai dette!
    non+autenticato
  • eh no caro tu hai scritto:
    guardie e allarmi devono esserci per monitorare i terroristi.
    Tutto ciò che è opaco invece, come i muri della tua casa o la crittografia del computer, vanno invece abbattuti e sostituiti con pannelli di vetro e comunicazioni in chiaro.

    comincia con le mura di casa tua!!!
    non+autenticato
  • - Scritto da: ...
    > eh no caro tu hai scritto:
    > guardie e allarmi devono esserci per monitorare i
    > terroristi.

    e per monitorare i terroristi si devem onitorare TUTTI.
    OVVIAMENTE.
    Mica ce l'hanno tatuato in fronte il simbolo dell'ISIS.

    > Tutto ciò che è opaco invece, come i muri della
    > tua casa o la crittografia del computer, vanno
    > invece abbattuti e sostituiti con pannelli di
    > vetro e comunicazioni in
    > chiaro.
    >
    > comincia con le mura di casa tua!!!

    ancora?
    Io non ho problemi 'male on fare, paura non avere!123" ma se lo facciamo solo a casa mia non funziona, va fatto OVVIAMENTE a casa di tutti.
    E facilissimo da capire.
    Chi fa finta di non capirlo dev'essere un terrorista per forza.
    non+autenticato
  • - Scritto da: zuccottolo

    > Chi fa finta di non capirlo dev'essere un
    > terrorista per
    > forza.

    Io non ho niente da nascondere: sono un terrorista, lo sanno tutti.
    Siccome ho della dinamite che mi avanza, scrivimi il tuo indirizzo che te la faccio avere.
  • - Scritto da: zuccottolo
    > chi ha qualcosa da nascondere è un terrorista.
    > e non tirate fuori le solite scuse delle banche e
    > bla bla
    > bla..
    > anche loro se non hanno nulla da nascondere non
    > hanno nulla da
    > tremare!


    molto bene iniziamo dai conti cifrati e dal segreto bancario tanto se non hai nulla da nascondere dov'e' il problema?
    non+autenticato
  • - Scritto da: Sbirulino

    > molto bene iniziamo dai conti cifrati

    iniziamo da tutto, non dai conti cifrati.
    via la crittografia dal pianeta. TUTTA.
    Semplice.
    O vuoi difendere i terroristi? Eh? EH? EHHHHHH?
    non+autenticato